Como posso editar a diretiva de segurança local de um arquivo em lotes?

10

Estou tentando escrever um utilitário como um arquivo em lotes que, entre outras coisas, adiciona um usuário à diretiva de segurança local "Negar logon localmente". Esse arquivo em lotes será usado em centenas de computadores independentes (não em um domínio e nem sequer estão na mesma rede).

Presumi que uma das opções a seguir eram minhas, mas talvez haja uma em que não tenha pensado.

Um utilitário de linha de comando semelhante ao net.exequal pode modificar a política de segurança local.
Uma amostra VBScript para fazer o mesmo.
Escreva o meu próprio usando algumas chamadas WMI ou Win32. Prefiro não fazer este se não precisar.

— Stephen Jennings
fonte

5

Você pode usar o ntrightsutilitário para editar os privilégios da conta.

O direito do usuário "SeDenyInteractiveLogonRight" é o que você deseja editar, provavelmente como parte do logon do computador.

O comando a seguir negaria o logon interativo jscott:

ntrights -u jscott +r SeDenyInteractiveLogonRight

http://support.microsoft.com/kb/315276

http://ss64.com/nt/ntrights.html

— jscott
fonte

A-ha, isso funciona para o que eu preciso. Obrigado!

— Stephen Jennings

2

Eu olhei por tanto tempo também. Eu descobri a resposta!

Para verificar o estado atual:

auditpol /get /subcategory:"Process Creation"

Esta próxima linha fará a alteração. Ele definirá a criação do processo como Ativado.

auditpol /set /subcategory:"Process Creation"

Verifique o estado novamente e você verá a alteração.

Como alternativa, você pode alterar todas as políticas de "rastreamento de detalhes", pois "criação de processo" é uma subcategoria de "rastreamento de detalhes". Como isso:

auditpol /set /category:"Detailed Tracking"

— OatBoat
fonte

1

você pode exportar um modelo usando a GUI

faça as alterações desejadas no PC de referência,

SECPOL.MSC> Ações> Política de exportação> secpol.inf

então use

SECEDIT.exe /IMPORT

envolva-o na sua linguagem de script favorita (Lote, PS, VBScript)

e substituirá a política atual

A única preocupação seria se houver problemas com a substituição da política atual.

Nunca fiz isso com política de segurança, mas antes com perfis de energia, e o processo parece quase idêntico, semelhante ao comando NET.exe.

— Matt Hamende
fonte